Несколько филиалов через один Микротик

Обсуждение оборудования и его настройки
Ответить
ferramentum
Сообщения: 5
Зарегистрирован: 05 апр 2017, 14:48

Добрый день. Относительно недавно стал пользоваться данным типом устройств. Понравился функционал и цена. Настраивал не сильно замороченные сети. Максимум три подсети на одном устройстве которые не видят другу друга. Тут сложнее. Пробовал сам, но как то не пошло. Да и лишать инета более чем на 20-30 минут чревато. Поэтому прошу помощи.
Mikrotik RB 750 Gr3. (Возможна замена на серию 3011 в дальнейшем).
Есть 8 филиалов и центральный офис. В каждом своя подсеть. Все объединены провайдером в одну корпоративную сеть. Маршрутизацию он прописал на своих устройствах и все пашет между сетями. Нужно организовать доступ в инет для всех офисов через центральный (офис 0). На всех машинах DNS указан порт Микротика (192.168.222.254 eth2) и прописан прокси (192.168.222.254 порт 3127 либо 3128)

В центральном офисе 2 подсети. Lan и DMZ. 192.168.222.0/24 Lan идет через шлюз и в Mikrotik, и DMZ напрямую в Mikrotik.
Кроме того, есть шлюз 192.168.222.3 за которым подсеть 10.2.22.0/24. Я думаю, достаточно добавить просто в таблицу маршрутизации.
Микротик нужно настроить на Wan (eth1), Lan (eth2) и DMZ (eth3). Плюс PPTP извне.
DNS (локальные имена) и DHCP (по mac).
LAN. Инет через WebProxy по портам 3127, 3128 для всех. Некоторым прямой выход по AddressList.
DMZ. Прямой выход всем
Через Wan стучаться на 80 порт на сайт конторы.

Извне стучаться на Mikrotik по Pptp, получают адреса из 192.19.70.0/24 и должны видеть всех.
DMZ должен видеть все подсети всех офисов.
В DMZ можно достучаться только из 192.168.222.0/24 (хотя если проблемно, то можно и из любых подсетей).

В общем пробовал настраивать по разнум мануалам. Вроде бы пашет, но:
1. Начинает дико тупить инет
2. PPTP и DMZ видит только подсеть 192.168.222.0/24
3. В ip/route указал все подсети с указанием шлюза. Все reachable, но периодически рвутся соединения между сетями и пользователи недовольны. Хотя это возможно проблемы с DNS. Указал локальные имена и адреса некоторых устройств.

Направьте в нужное русло советом :)

В идеале подскажите как сделать рабочую сеть приложенной схемы.
https://yadi.sk/i/2Rn_qRxV3GhctK
Изображение

Файл не вложился сразу
Последний раз редактировалось ferramentum 06 апр 2017, 07:04, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ferramentum писал(а):Направьте в нужное русло советом :)
В идеале подскажите как сделать рабочую сеть приложенной схемы.

1) Сделать схему (обязательно)
2) Разобраться с адресацией
2.1) Уточнить что в каждом филиале будет (минимальный набор сервисов)
2.2) Уточнить что будет в Головном офисе (также)
2.3) Как совет - каждый офис должен быть самостоятельной единицей в рамках минимальности/минимума (в случаи потери связи с Головным офисом)
2.4) Уточнить в рамках адресации (и на схеме показать) что и как делает в подключении офисов провайдер (то есть какие сети, маршруты и так далее, и вообще тип предоставления услуги)
2.1) Уточнить что за шлюз в центральном офисе (и нужен ли он сейчас и/или в будущем)
3) Ликвидировать или упростить проксю, из-за того что интернет стал мелким, быстрым, кеширование как бы и не нужно, да и микротик в качестве прокси - для постоянства не идеальный выбор.
4) Хочу напомнить что протокол РРТР не является сильно защищённым. Так что в рамках ВПН это лучшая реализация,но я её не отрицаю, тоже проще дать РРТР чем уговаривать клиента при срочности
работы - что-то использовать иное.
5) Описать логику и нужность DMZ в рамках офисов?
6) Ну и надо описать Т.З. (Техническое Задания к схеме) и описать продумав всё что я выше описал и что Вам надо в рамках условий,
ну и уже от ТЗ отталкиваться и делать. Без схемы, логики и правильности подхода, можно вечно делать и не сделать. Ведь надо знать какие сети,
какие связи, какие уровни доступа нужны, какая топология сети нужна, ибо есть устройства работающие только в L2-layer и т.д.
Также в любой схеме надо предусмотреть какие то отхождения, какие то исключения из правил и топологии.
7) И после составления ТЗ и понимания что хочется, обратиться уже к подрядчику(+ Баннер внизу ), ибо проект не простой, советами тут
увы не сильно можно помочь, опыт работы с Микротиками должен быть уже какой то, понимать маршрутизацию,
логику, и IP сети. Тем более в Ваших условиях есть критерий - что перерыв связи не желателен на долго, хотя без перерывов тут никак не обойтись.

P.S.(всё что пришло в голову и посчитал поделиться)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить